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(57) L'invention permet de proceder a une verification, par 
un verificateur (A, 2), de la detention d'au moins une donnee 
confidentielle (P (X); P 1 (X)... P t (X)) par un detenteur presu- 
me (B, 4), sans communication par ce dernier de la donnee 
confidentielle, conformement a un processus dit de " a divul- 
gation nulle ". 

Acette fin, il estprevu d'utiliser pour la donnee confiden- 
tielle au moins un premier polynome (P (X)), le detenteur 
presume (B, 4) transmettant au verificateur (A, 2) des don- 
nees (x, y) calculees en utilisant ce polynome, la verification 
etantetabliesurlabase d'une analyse deces donnees met- 
tant en oeuvre au moins un deuxieme polynome (Q (X)) et 
d'un polynome compose Q (P (X)). 
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Procede et dispositif de la verification de la 
detention d'une donnee confident ielle sans 
communication de celle-ci, selon un processus dit de "a 
divulgation nulle". 

L ' invention concerne la securisation electronique 
par code secret, par exemple pour des protocoles 
d' identification. Dans ce cadre, le code secret est 
typiquement attribue a une entite, designee ci-apres 
5 "detenteur", en tant que cle d'acces a une prestation 
d'un fournisseur. Cette cle est soumise a une 
verification par un systeme de securisation lie au 
fournisseur, qui conditionne 1 1 acces a la prestation. 
Le processus de demande d' autorisation s ' ef f ectue par 
10 echange electronique entre le detenteur presume et le 
fournisseur. 

La figure 1 illustre tres s enema tiquement le cas 
general d'un ensemble compose d'une part d'un systeme 
de verification (verif icateur) 2 et d' autre part d'un 

15 detenteur presume 4 . Le systeme 2 et le detenteur 
presume communiquent sur une liaison 6 qui peut §tre 
locale ou distante (par reseau) , filaire, 
radioelectrique, infrarouge, etc. Dans 1' exemple, le 
detenteur presume 4 se trouve etre materialise par une 

20 carte a puce, le systeme de verification 2 etant un 
terminal avec lecteur de carte. Le code secret 
(designe par le terme "secret" dans ce qui suit) est 
alors contenu au sein d'une memoire de la carte 2. La 
verification de la validite du secret necessite un 

25 echange de messages sur la liaison 6 selon un protocole 
preetabli. La verification peut conditionner 1 ' acces a 
un service (telephonique, de reception de television a 
peage, de transaction bancaire ou commerciale) , ou a 
controler 1' acces a un site, la transmission d'un 

30 dossier medical, 1 ' identification d'une personne, etc. 
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Dans une mise en ceuvre classique, le protocole 
prevoit la transmission du secret vers le terminal, 
eventuellement sous forme cryptee pour eviter des 
attaques durant l'echange. 
5 Cependant, il existe aussi des protocoles dits de 

"a divulgation nulle" (de l'anglais "zero knowledge"), 
bases sur le fait qu'il est mathematiquement possible a 
un detenteur presume de prouver qu'il possede 
ef f ectivement un secret valable sans pour autant le 

10 communiquer au systeme de verification. II s'agit de 
protocoles de preuve de detection de secret sans 
divulgation ou de protocoles a divulgation nulle. Les 
protocoles Fiat-Shamir, Guillou-Quisquatter , "syndrome 
decoding", "permuted kernels problem", "constrained 

15 linear equations", etc. sont des exemples de tels 
protocoles de a divulgation nulle. Le principe repose 
sur un echange de questions et de reponses, provenant 
respectivement du systeme de securisation 2 et du 
detenteur presume 4. Le protocole d' identification est 

20 de nature asymetrique, en ce sens qu'il fait appel a 
des cles privees et publiques, la cle privee 
constituant le secret detenu au niveau du detenteur 
presume. Puisque le secret n'est jamais revele durant 
le protocole, il n'y a pas de risque qu'il soit 

25 approprie par un detenteur presume mal intentionne, ou 
une personne interceptant les messages echanges en vue 
de pouvoir se presenter comme le detenteur agree du 
secret . 

Si ces protocoles permettent une selection de 
30 parametrage, leur conception demeure relativement 
figee. Ceci est notamment le cas avec le protocole de 
Fiat et Shamir. 

Ainsi, un objet de 1 ' invention est de prevoir une 
securisation par verification basee sur un nouveau 
35 protocole de a divulgation nulle, permettant de 
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nombreuses possibilities de mise en oeuvre selon les 
applications envisagees. 

Plus particulierement, 1' invention propose, selon 
un premier objet, un procede de verification, par un 
verificateur, de la detention d'au moins une donnee 
confidentielle P(X) ; Pi(X)„. P t (X) par un detenteur 
presume, sans communication par ce dernier de la donnee 
confidentielle, conf ormement a un processus dit de "a 
divulgation nulle" , 

caracterise en ce que 1 ' on utilise pour la donnee 
confidentielle au moins un premier polynome P(X), le 
detenteur presume transmettant au verificateur des 
donnees calculees en utilisant ce polynSme, la 
verification etant etablie sur la base d'une analyse de 
ces donnees mettant en ceuvre au moins un deuxieme 
polyn6me Q(X) et d'un polynome compose S(X) = Q(P(X)), 
celui-ci etant compose du premier polynSme P(X) et du 
deuxieme polyn6me Q(X). 

Avantageusement , a partir : 

du premier polynome, soit P(X) d'une 
variable X, et 

- du deuxieme polyndme, soit Q(X) de la 
variable X, 

on definit un troisieme polynome compose S(X) = 
Q(P(X) ) , 

et on met en oeuvre au moins une sequence 
comprenant les etapes de : 

a) transmission, du detenteur presume au 
verificateur, d'une premiere donnee (x) obtenue a 
partir du troisieme polynome S(X) pour le cas de la 
variable X = r, soit Q(P(r)), ou r est un nombre choisi 
arbitrairement par le detenteur presume ; 

b) transmission en reponse, du verificateur au 
detenteur presume, d'une valeur d' invitation de preuve 
(b) , 
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c) transmission, du detenteur presume au 
verif icateur, d'une deuxieme donnee (y) calculee selon 
y = r si la valeur d' invitation de preuve b correspond 
a une premiere valeur et selon y = P(r)si la valeur 

5 d' invitation de preuve correspond a une seconde valeur, 
et 

d) verification, par le verif icateur , que la 
condition S (y) = x est satisfaite si la valeur 
d' invitation de preuve correspond a la premiere valeur, 

10 et que la condition Q(y) = x est satisfaite si la 
valeur d' invitation de preuve correspond a la seconde 
valeur, une verification positive a 1 ' etape d) 
accroissant le degre de confiance en la detention 
effective de la donnee secrete P(X) par le detenteur 

15 presume . 

Le procede peut §tre mis en ceuvre pour une 
verification portant sur une plural ite t de donnees 
confidentielles independantes , chacune definie par un 
premier polyn6me respectif, ou, a partir : 
20 - des premiers polynSmes respectif s, soit Pi(X), 

P 2 {X), P 3 (X),..., P t (X) d'une variable X, et 

- du deuxieme polyndme, soit Q(X) de la variable 

X, 

on definit un troisieme ensemble de fonctions 
25 Si(X) pour i = 0 a t, soit : S 0 = Q(X), Si(X) = 
Q(Pi(X)), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(Pi(P 2 (P 3 (X) ) ) ) , 
...S t (X) = Q(Pi(P 2 (P 3 (...P t (X))))) r 

et on met en oeuvre au moins une sequence 
comprenant les etapes de : 
30 i) transmission, du detenteur presume au 

verif icateur, d'une premiere donnee (x) obtenue a 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P 3 (...P t (r) ) ) ) ) , ou r est une 
valeur aleatoire generee au niveau du detenteur 
35 presume ; 
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- ii) transmission, du verificateur au detenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction(s) parmi un ensemble de fonctions Ei 
de variable X, soit : 

5 fonction E 0 : PI (P2 (P3 {...{Pt (X) )...)) , 

fonction Ei : P2 (P3 (...Pt (X) ...) ) , 
fonction E 2 : P3 (...Pt (X) ...) 

fonction E t : X ; 

10 - iii) transmission, du detenteur presume au 

verificateur, d'une deuxieme donnee (yi) calculee selon 
la fonction designee Ei a 1 ' etape precedente pour le 
cas de la variable X = r ou d'un nombre correspondant 
de valeurs yi, chacune etant obtenue a partir d'une 

15 fonction designee respective ; et 

- iv) verification, par le verificateur, que la 
condition Si(yi)= x est satisfaite pour chacune des 
valeurs correspondantes . 

De preference, on repete la sequence d'etapes i) 
20 a iv) au moins une fois, une fonction Ei etant designee 
arbitrairement a chaque repetition de sequence. 

Avantageusement , tous les polynomes (P(X), Q(X), 
S(X); Si(X), Ei(X)) sont definis modulo n, ou n est un 
nombre compose dif f icilement f actorisable . 
25 La donnee conf identielle peut etre constitute 

d'un polynome P(X) d'ordre 2 (deux) ou superieur. 

Le deuxieme polynome (Q(X)) peut §tre un polynome 
d'ordre 2 (deux) ou superieur. 

Selon un deuxieme aspect, 1 ' invention concerne un 
30 dispositif de verification specif iquement adapte pour 
realiser le procede selon le premier objet. 

Selon un troisieme aspect, 1 ' invention concerne 
un dispositif detenteur d'au moins une donnee 
conf identielle specif iquement adapte pour realiser le 
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procede selon le premier aspect, ce dispositif pouvant 
etre une carte a puce. 

L' invention et les avantages qui en decoulent 
seront mieux compris par la description qui suit des 
5 modes de realisation preferes, donnes purement a titre 
d'exemple non-limitatif , par reference aux dessins en 
annexe, dans lesquels : 

la figure 1, deja decrite, est un schema 
general simplifie d'un ensemble constitue d'un systeme 
10 de securisation et d'un detenteur presume, avec echange 
de donnees de verification de secret ; 

- la figure 2 est un organigramme du deroulement 
d'un procede de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

15 conforme a un premier mode de realisation de 
1 ' invention ; et 

- la figure 3 est un organigramme du deroulement 
d'un proced£ de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

20 conforme a un second mode de realisation de 
1 ' invention. 

La securite du protocole de verification a 
divulgation nulle selon 1 ' invention repose sur le 
probleme suivant. Soient deux polyn6mes P(X) et Q(X), 

25 on peut facilement calculer le polynome compose S (X) = 
Q{P(X)). Mais, etant donnes Q(X) et S (X) , il est 
difficile trouver P(X. Dans ce qui suit, tous les 
calculs sont realises en arithmetique modulo n, ou n 
est un nombre compose. A titre d'exemple, le nombre n 

30 peut etre le produit de deux nombres premiers p et q, 
soit n=p.q. Le secret, dont la connaissance est a 
prouver par le detenteur, est le polyn6me P(X). 

Dans ce qui suit, on designe par A le detenteur 
du secret P(X) (detenteur presume), et par B le 

35 verificateur du fait que A connaisse ef f ectivement le 
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secret P(X). "A" peut etre une carte a puce 4 ou 
analogue, et "B" le systeme de securisation 2, pour 
reprendre l'exemple de la figure 1. Ainsi, 
conformement au protocole "a divulgation nulle", A doit 
5 prouver a B gu'il detient le secret P(X) sans le lui 
reveler. 

La figure 2 illustre un exemple du deroulement 
d'un protocole de verification "a divulgation nulle" 
conforme a 1' invention, applique a 1 ' ensemble de la 
10 figure 1. 

Au prealable, le detenteur presume A du secret 
P{X) , soit la carte 4, contient dans sa memoire les 
parametres suivants : 

- un polynome P(X) , qui constitue un parametre 
15 prive, soit le secret. On note que le parametre prive 

qui constitue le secret est le polynSme P(X) qui est le 
polyn6me difficile a trouver selon le probleme enonce 
ci-dessus, 

- une fonction polynomiale S(X) definie par : 
20 S(X) = Q(P(X) ) , et 

- un module n dif f icilement f actorisable, par 
exemple de type RSA. 

La fonction S{X) s'obtient directement par calcul 
a partir des polynomes P(X) et Q(X) . A titre 
25 illustratif, donne ici seulement pour comprendre ce 
mode de calcul, si Q(X) = aX 2 + bx + c et P{X) = uiX + 
u 0 , alors : 

S(X)= a(uiX + u 0 ) 2 + b(uiX + u D ) + c 

= a(ui 2 X 2 + u 0 2 + 2uiu 0 X) + uibX + u 0 b + c 
30 = aui 2 X 2 + (2auiu 0 + u x b)X + au 0 2 + u 0 b + c 

:- s 2 X 2 + SiX + s 0 
Les coefficients des polynSmes a, b, c, ul et uO, 
ainsi que s 2 , Si et s 0 sont des valeurs connues par la 
carte. Cependant, pour reduire le nombre d' arguments a 
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stocker, la carte pent ne pas contenir les parametres 
relatifs a Q(X), c'est-a-dire a, b et c. 

Q(X) et P(X) sont des polynomes en X de degre p 
et q. lis sont reduits modulo n, c'est-a-dire que 
5 leurs coefficients sont reduits modulo n. A titre 
. d'exemple, 

pour P(X) =2 1=0 h p aiX 1 = a 0 + aiX + a 2 X 2 + a 3 X 3 + 
...+ apX p , 

P(X) mod n = (2 i=0 a p aiX 1 ) mod n 
10 = E i=0 a p (ai mod n)X\ 

De son c6te, le systeme B de verification 
(verif icateur) de la connaissance du secret, soit le 
terminal 2, contient dans sa memoire les memes 
parametres que ceux stockes par la carte, hormis le 
15 secret P(X), a savoir : Q(X) , S(X) = Q(P(X)) et n. 

En debut de protocole, il s'opere un echange de 
signaux entre le terminal 2 et la carte 4 pour etablir 
1 ' initialisation du processus (etape E2) . Durant cette 
phase, une serie de routines est installee pour fixer 
20 les conditions de verification. 

Le processus de verification "a divulgation 
nulle" debute alors par le tirage d'un nombre aleatoire 
r au niveau de la carte 4 (etape E4) . Ce nombre r est 
produit par des algorithmes quelconques. A partir de 
25 ce nombre r, la carte calcule une valeur x donnee par 
la fonction S(X) mod n, pour X = r, soit x = Q(P(r)) 
mod n. La carte envoie cette valeur de x au terminal 2 
(etape E8) , ou elle y est receptionnee (etape E10) . 

Ensuite, le terminal produit un bit b dit 
30 d' interrogation ou d' invitation de preuve (etape E12) . 
Dans l'exemple, les probabilites de b = 1 et b = 0 sont 
egales. Ce bit b est transmis a la carte (etape E14) , 
ou elle constitue la partie "question" selon 1 1 aspect 
question-reponse du protocole a divulgation nulle. 
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La carte receptionne le bit b (etape E16) et 
produit en reponse une valeur y en fonction de la 
valeur de ce bit, comme suit (etape E18) : 

- si b = 0, y = r ; 

5 - si b = 1, y = P(r), c'est-a-dire la valeur 

rendue par le polyndme secret P(X) pour X = r. 

Ensuite, la carte 4 envoie la valeur y au 
terminal 2 (etape E20) , ou elle est y r^ceptionnee 
(etape E22) . La valeur de b conditionne la nature de 
10 la verification effectuee par le terminal 2, comme suit 
(etape E24) : 

si b = 0, le terminal verifie que S(y) = 
Q(P(y) ) = x ; 

- si b = 1, le terminal verifie que Q(y) = x. Les 
15 etapes precedantes impliqu^es dans les trois series 

d'echanges, en commencant par 1 ' etape E4 de generation 
d'un nombre aleatoire, doivent §tre iterees plusieurs 
fois afin de garantir un degre de confiance suffisant, 
chaque nouvelle iteration permettant de se rapprocher 

20 du niveau de confiance souhaite. 

En revanche, il suffit qu'une seule instance de 
la verification a 1' etape E24 soit non satisfaite pour 
permettre de constater que la carte 2 ne detient pas le 
secret P(X) . Dans le cas d'un tel constat, le terminal 

25 initie une routine d' interruption de la procedure de 
verification pour cause d'echec, et declenche une 
alerte adaptee aux circonstances (etape E26) . 

Lorsque la condition a verifier satisfaite a 
1' etape E24, la procedure entame une iteration du 

30 processus a partir de 1* etape E4 afin de pouvoir 
renforcer le degre de confiance. 

Le protocole de verification conforme a 
1 ' invention est tres sur, permettant d'obtenir des 
degr£s de confiance C arbitral rement proches del. En 

35 effet, a supposer que les polynSmes P(X) et Q(X) soient 
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bien choisis, pour S(X) = Q(P(X)) donne modulo n, le 
probleme de retrouver P(X) a partir de S(X) et de Q(X) 
est suppose difficile. 

II n'existe pas de regies generales de selection 
5 des polynomes P(X) et Q(X) . On choisira de maniere 
empirique des polynomes qui soient suffisamment 
complexes pour ne pas permettre de deduire aisement la 
valeur du secret. Avantageusement , au moins l'un de 
ces polynQmes doit etre de degre 2 ou superieur. 

10 L' utilisation du modulus n pour exprimer x 

implique que tous les coefficients des polynomes 
doivent etre reduits par ce modulus, ce qui renforce la 
difficulte du probleme de trouver P(X) a partir de 
Q(P(X) ) et de S(X) . 

15 A titre indicatif, d'excellents resultats sont 

obtenus en termes de securite et de consommation de 
ressources avec le choix suivant de polyndmes : 

P(X) = u 2 X 2 + uiX + u 0 , et Q(X) = aX 2 + bX + c 
S(X) = c 4 X 4 + C 3 X 3 + c 2 X 2 + CiX + c 0 , ou les coefficients 

20 a, b, c et c 4/ c 3 , c 2 , Ci et c 0 sont connus . 

Le probleme de trouver P(X) a partir de Q(X) et 
de S(X) est alors equivalent a determiner une racine 
carree en modulo n. 

II sera maintenant decrit une generalisation du 

25 mode de realisation selon laquelle on utilise un nombre 
arbitraire t de cles privees. Cette disposition permet 
notamment de reduire le nombre d ' echanges entre le 
fournisseur (terminal 2) et le detenteur presume (carte 
4), notamment en s ' af f ranchissant des iterations 

30 precitees, ou tout au moins en reduisant leur nombre. 
L'approche consiste a utiliser dans le processus de 
verification plusieurs cles publiques et un nombre 
correspondant de cles privees, stockees respectivement 
au niveau du terminal 2 et de la carte 4 . Cette 

35 approche s'inscrit dans un cadre general de mise en 
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oeuvre, avec utilisation d'un nombre t de cles prives 
Pi(X), P 2 (X), P 3 (X), p t (X) associees a t cles 

publiques respectives, celles-ci etant : 

Si(X) = Q(Pi(X) ) , 
5 S 2 {X) = Q(Pi(P 2 (X)))), 

S 3 (X) = Q(Pi(P 2 (P 3 (X)))) 

S t (X) = Q(Pi(P 2 (P 3 (...P t (X))))) . 

Dans ce qui suit, tous les polyndmes sont reduits 
10 modulo n, comme dans le cas precedent ; ce fait ne sera 
pas repete systematiquement par souci de concision. 

Lors d'une verification, le terminal 2 et la 
carte 4 entament un processus d'echange de donnees 
preliminaires pour 1 ' initialisation du protocole (etape 
15 E2), a l'instar du mode de realisation de la figure 2. 

Ensuite, la carte 4 produit un nombre aleatoire r 
(etape E4), calcule a partir de ce nombre une valeur x 
= Q(Pi(P2(P 3 (...(Pt(r) ) ))...) (etape E30) , et la transmet au 
terminal 2 (etape E32) . 
20 En reponse, le terminal produit un nombre 

aleatoire b dans un domaine d' equiprobabilite Oat 
compris (etape E34) et le transmet a la carte 4 (etape 
E36) . 

En fonction du nombre b, la carte calcule la 
25 valeur y if selectionnee selon la valeur de b, (etape 
E38) . 

Plus particulierement, la valeur y ± est 
determinee comme suit : 

si b = 0, y 0 = Pi(P 2 (P 3 (...(P t (r)...) ) ) , 
30 si b = 1, Yl = P 2 (P 3 U(P t (r )...)) , 

si b = 2, y 2 = P 3 (...(P t (r)...) , 



si b = t, y = r. 
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On remarque que les reponses y± de la carte en 
fonction de la valeur de b envoye par le terminal sont 
basees sur les cles publiques 

Si(X), S 2 (X), S 3 (X), S4(X), „., St(X) 
5 La valeur y± requise ainsi calculee est transroise 

au terminal (etape E40) . 

A la reception de cette valeur yi, le terminal 
procede a une verification en fonction de la valeur de 
b (etape E42) : 
10 si b = 0, verification de la condition Q(yo) = x 

si b = 1, verification de la condition Si(yi) = x 

si b = 2, verification de la condition S 2 (y2) = x 

15 si b = t, verification de la condition S t (yt) = x 

Si la condition a verifier a 1 1 etape E42 est 
satisfaite, on peut supposer (etape E44) avec un 
certain degr6 de confiance que le detenteur presume a 
prouv<£ qu'il detient le secret. Dans le cas contraire, 

20 on suppose que la preuve demandee n'a pas et6 fournie 
pour des raisons suspectes, et la communication avec la 
carte 4 est interrompue, eventuel lenient accompagne 
d'une procedure d'alerte. 

Si le nombre t de cles utilisees dans la 

25 procedure ne permet pas d'obtenir un degre de confiance 
suffisant, il est bien entendu envisageable de realiser 
une ou plusieurs iterations a partir de 1 ' etape E4 . 

Selon une variante du mode de realisation de la 
figure 3, le terminal 2 transmet a 1' etape E3 6 non pas 

30 une, mais plusieurs valeurs de b, chacune choisie de 
maniere aleatoire. 

La carte 4 calcule alors a 1 ' etape E3 8 une valeur 
yi en fonction de chacune des valeurs de b regues, sur 
les memes bases que pour le calcul de y± decrit par 

35 reference a la figure 3, et les transmet au terminal. 
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Le terminal analyse chacune des valeurs y± ainsi 
regues pour determiner si elles satisfont les 
conditions enoncees supra dans le cadre de 1 ' etape E42 . 

On comprendra que cette variante permet a la 
carte de detenir plusieurs secrets. Le terminal peut 
alors verifier la connaissance de ces secrets en une 
seule serie d' operations, par exemple, lors d'une 
verification simultanee de plusieurs mots de passe ou 
de codes d' authentif ication. 

L' invention n'est pas limitee aux cartes ou a des 
dispositifs portatifs, trouvant application dans tout 
systeme de communication faisant appel a une 
identification confidentiel : verification de mot passe 
entre un utilisateur et son ordinateur, son vehicule, 
materiel prof essionnel , telephone mobile, ou autre 
equipement personnalise, etc. 



2830147 



REVINDICATIONS 

1. Procede de verification, par un verificateur 
(B,2), de la detention d'au moins une donnee 
conf identielle (P(X); Pi(X)„. P t (X)) par un detenteur 
presume (A,4)), sans communication par ce dernier de la 

5 donnee conf identielle, conformement a. un processus dit 
de "k divulgation nulle" , 

caracterise en ce que l'on utilise pour la donnee 
conf identielle au moins un premier polynome (P(X)), le 
detenteur presume (A, 4)) transmettant au verificateur 

10 (B,2) des donnees (x, y; yi) calculees en utilisant ce 
polynome, la verification etant etablie sur la base 
d'une analyse de ces donnees mettant en oeuvre au moins 
un deuxieme polyn6me Q(X) et d'un polynome compose S(X) 
= Q(P(X)), celui-ci etant compose du premier polynome 

15 P(X) et du deuxieme polynome Q(X) . 

2. Procede selon la revendication 1, caracterise 
en ce que, a partir : 

- dudit premier polyndme, soit P(X) d'une 
20 variable X, et 

- dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisieme polynSme compose S(X) = 
Q(P(X) ) , 

25 et en ce qu'il met en oeuvre au moins une sequence 

comprenant les etapes de : 

a) transmission, du detenteur presume (A, 4) au 

verificateur (B,2), d'une premiere donnee (x) obtenue a 

partir dudit troisieme polynome S(X) pour le cas de la 
30 variable X = r, soit Q(P(r)), ou r est un nombre choisi 

arbitrairement par le detenteur presume ; 
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b) transmission en reponse, du verif icateur (B,2) 
au detenteur presume, d'une valeur d' invitation de 
preuve (b) , 

c) transmission, du detenteur presume au 
5 verif icateur, d'une deuxieme donnee (y) calculee selon 

y = r si la valeur d' invitation de preuve b correspond 
a une premiere valeur et selon y = P(r)si la valeur 
d' invitation de preuve correspond a une seconde valeur, 
et 

10 d) verification, par le verif icateur , que la 

condition S(y) x est satisfaite si la valeur 

d' invitation de preuve correspond a la premiere valeur, 
et que la condition Q(y) = x est satisfaite si la 
valeur d' invitation de preuve correspond a la seconde 

15 valeur, une verification positive a 1 ' etape d) 
accroissant le degre de confiance en la detention 
effective de la donnee secrete P(X) par le detenteur 
presume (A, 4) . 

20 3. Procede selon la revendication 1, caracterise 

en ce qu'il est mis en oeuvre pour une verification 
portant sur une pluralite t de donnees conf identielles 
independantes , chacune definie par un premier polyn6me 
respectif, caracteris£ en ce que, a partir : 

25 - desdits premiers polynomes respectif s, soit 

Pi(X), P 2 (X), P 3 (X),.„, P t (X) d'une variable X, et 

dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisieme ensemble de fonctions 
30 Si(X) pour i = 0 a t, soit : S 0 = Q{X), Si(X) = 
Q(Pi<X)), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(Pi(P 2 (P 3 (X) ) ) ) , 
...S t (X) = Q(Pi(P 2 (P3(...Pt(X))))), 

et ce que 1 ' on met en oeuvre au moins une sequence 
comprenant les etapes de : 
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- i) transmission, du detenteur presume (A, 4) au 
verificateur (B,2), d'une premiere donnee (x) obtenue a 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P3(...Pt(r) ) ) ) ) , ou r est une 

5 valeur aleatoire generee au niveau du detenteur presume 
(B,4) ; 

- ii) transmission, du verificateur au detenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction (s) parmi un ensemble de fonctions Ei 

10 de variable X, soit : 

fonction E 0 : PI (P2 (P3 (... (Pt (X) )...)) , 
fonction Ei : P2 (P3 (...Pt (X)...) ) , 
fonction E 2 : P3 (...Pt (X) ...) 

15 fonction E t : X ; 

iii) transmission, du detenteur presume au 
verificateur, d'une deuxieme donnee (yi) calculee selon 
la fonction designee Ei a 1 ' etape precedante pour le 
cas de la variable X = r ou d'un nombre correspondant 

20 de valeurs yi, chacune etant obtenue a partir d'une 
fonction designee respective ; et 

- iv) verification, par le verificateur, que la 
condition Si(yi)= x est satisfaite pour chacune 
desdites valeurs correspondantes . 

25 

4 . Procede selon la revendication 3 , caracterise 
en ce que ladite sequence d'etapes i) a iv) est repetee 
au moins une fois, une fonction Ei etant designee 
arbitrairement a chaque repetition de sequence. 

30 



5 . Procede selon 1 ' une quelconque des 

revendications 1 a 4, caracterise en ce que tous les 
polynomes (P(X), Q(X), S(X); Si(X), Ei(X)) sont definis 
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modulo n, ou n est un nombre compose dif f icilement 
factorisable. 

6. Procede selon l'une quelconque des 
5 revendications 1 a 5, caracterise en ce que la donnee 

confident ielle est constitute d'un polynome P(X) 
d'ordre 2 (deux) ou superieur. 

7. Procede selon l'une quelconque des 
10 revendications 1 a 6, caracterise en ce que ledit 

deuxieme polynome (Q(X)) et un polynome d'ordre 2 
(deux) ou superieur. 

8. Dispositif de verification (B,2) permettant 
15 de verifier la detention d' au moins une donnee 

confidentielle (P(X), Pi(X), P t (X) par un 

detenteur presume (A, 4), sans communication par ce 
dernier de la donnee confidentielle, conformement a un 
processus dit de « divulgation nulle » 
20 caracterise en ce qu'il est prevu pour realiser 

le procede de verification selon l'une quelconque des 
revendications 1 a 7, le dispositif (B,2) comportant : 

- des moyens de reception desdites donnees (x, y, 
yi) calculees par le detenteur presume (A, 4), 

25 - des moyens de stockage dudit polynome compose 

S(X) = Q(P(X)), et 

- des moyens d' analyse desdites donnees regues 
mettant en oeuvre ledit polynome compose 
(S(X) = Q(P(X)) . 

30 

9. Dispositif (A, 4) detenteur d'au moins une 
donnee confidentielle sujette a une verification par un 
verificateur (B,2) sans qu'elle soit communiquee a ce 
dernier, conformement a un processus dit de 

35 « divulgation nulle », 
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caracterise en ce qu'il est prevu pour realiser 
le procede de verification selon l'une quelconque des 
revendications 1 a 7, le dispositif (A, 4) comportant : 

- des moyens de stockage dudit premier polynome 
5 P(X), et 

- des moyens de calcul mettant en oeuvre ledit 
premier polynome pour produire lesdites donnees 
calculees {x, y, y ± ) , et 

- des moyens de transmission desdites donnees 
10 calculees au verificateur (B,2). 

10. Dispositif selon la revendication 9, 

caracterise en ce qu'il s'agit d'une carte a puce (4). 
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